Καθώς η πανδημία του 2020 άλλαξε τον παραδοσιακό τρόπο εργασίας, οι εταιρείες αναγκάστηκαν να προσαρμοστούν ξεκινώντας να υποστηρίζουν πλήρως την απομακρυσμένη εργασίας. Καθώς συνεχίζεται η διάθεση των εμβολίων, δεν είναι λίγες οι εταιρείες που ξεκίνησαν να καλωσορίζουν τους εργαζόμενους στο γραφείο. Αυτό ωστόσο δεν σημαίνει ότι όλες οι εταιρείες σχεδιάζουν να επιστρέψουν στα ίδια ακριβώς πράγματα με πριν. Ορισμένες εταιρείες, όπως οι Nationwide και VMware, ανακοίνωσαν την απόφαση τους να διατηρήσουν την στρατηγική «πρώτα η τηλεργασία» μακροπρόθεσμα, ενώ άλλες αναζητούν ευέλικτες λύσεις όπως δύο ημέρες στο γραφείο και τρεις ημέρες στο σπίτι – ή μία εβδομάδα στο γραφείο και την επόμενη εβδομάδα στο σπίτι. Η πρόκληση για τα τμήματα IT και ITSec είναι ότι χρειάζεται να προετοιμαστούν για να υποστηρίξουν πλήρως ή μερικώς την τηλεργασία (και τους απομακρυσμένους υπαλλήλους) μελλοντικά.
3 παράγοντες εστίασης για λειτουργίες ασφαλείας στην εποχή της τηλεργασίας ή της υβριδικής εργασίας
Πως μοιάζει η υποστήριξη ενός υβριδικού εργατικού δυναμικού για τις επιχειρήσεις ασφαλείας; Για να διασφαλιστεί ότι τα εταιρικά περιουσιακά στοιχεία προστατεύονται και δεν εκτίθενται σε υπερβολικούς κινδύνους, οι ομάδες SecOps θα πρέπει να επικεντρωθούν σε τρεις παράγοντες για τους απομακρυσμένους και υβριδικά-απομακρυσμένους εργαζόμενους: τον φυσικό, τον ψηφιακό και τον ανθρώπινο.
1.Φυσικός: Καθώς οι μέρες που βρισκόμασταν περισσότερο (ή κυρίως) στο γραφείο τελειώνουν, οι ομάδες ασφαλείας αντιμετωπίζουν μια εκτεταμένη επιφάνεια επίθεσης. Τώρα, το σπίτι κάθε υπαλλήλου εργασίας-από-σπίτι (WFH) ή «απανταχού εργασίας-από-οπουδήποτε (WFA) ή ακόμη και η τοπική… καφετέρια, μπορεί να είναι μια επέκταση του εταιρικού δικτύου. Και παρόλο που αυτό ισχύει όλο και περισσότερο με τους μετακινούμενους και κυρίως τους απομακρυσμένους εργαζομένους προ της πανδημίας COVID, η μεγάλη αλλαγή τώρα είναι η μεγάλη κλίμακα των υπαλλήλων που εργάζονται εξ αποστάσεως.
Στο επόμενο κύμα, κοιτάξτε να επεκτείνεται τις εντός-γραφείου φυσικές πολιτικές μέχρι το επόμενο κύμα του «απανταχού γραφείου» (office anywhere). Για παράδειγμα, αν είστε μία εταιρεία «καθαρού γραφείου» που απαιτεί από τους υπαλλήλους να κλειδώνουν φορητούς υπολογιστές και να απενεργοποιούν τις οθόνες όταν απομακρύνονται, επεκτείνετε αυτές τις πολιτικές και στην περίπτωση που ακολουθήσετε μία στρατηγική «απανταχού γραφείου». Αν και όλοι οι υπάλληλοι ενδέχεται να μην έχουν πρόσβαση σε κάποιο ντουλάπι που κλειδώνει στο σπίτι, πιθανότατα μπορούν να αποθηκεύουν τους φορητούς υπολογιστές τους σε ένα συρτάρι. Παρομοίως, παρέχετε οδηγίες σχετικά με τον τρόπο διατήρησης κρίσιμης σημασίας υλικού (hardware) όπως μόντεμ και δρομολογητές mesh Wi-Fi μακριά από τις… περίεργες γάτες και τα παιδιά. Και για τις εταιρείες που μπορούν να το αντέξουν οικονομικά, εξετάστε το ενδεχόμενο να προχωρήσετε ένα βήμα παραπέρα και να αγοράσετε ειδικό υλικό για απομακρυσμένους εργαζόμενους για να βεβαιωθείτε ότι χρησιμοποιούν εγκεκριμένους από την εταιρεία σας προμηθευτές και εκδόσεις.
2.Ψηφιακός: Η διατήρηση της ασφάλειας των δεδομένων για τους «remote-first» εργαζόμενους (όσους δηλαδή εργάζονται σε εταιρείες που ακολουθούν στρατηγική «πρώτα η τηλεργασία») διασταυρώνεται με τον ψηφιακό μετασχηματισμό και την συνεχιζόμενη μετάβαση στο σύννεφο. Η ασφάλεια που βασίζεται στην ταυτότητα υποστηρίζει τόσο τα άτομα όσο και τα μηχανήματα – και η σωστή εφαρμογή της είναι κρίσιμης σημασίας καθώς σύμφωνα με την εταιρεία Forrester Research το 80% των παραβιάσεων δεδομένων συνδέονται με παραβιασμένα (κλεμμένα) διαπιστευτήρια.
Το εύρος της πρόσβασης για ταυτότητες μέσω συγκεκριμένων ρόλων που απαιτείται να γνωρίζουμε είναι ένα απαραίτητο πρώτο βήμα. Μια πρόσφατη έρευνα της Forrester Consulting που πραγματοποίησε για λογαριασμό της BeyondTrust, έδειξε ότι το 60% των ερωτηθέντων πιστεύουν ότι τα επόμενα δύο χρόνια «περισσότεροι υπάλληλοι θα πρέπει να αντιμετωπίζονται πια ως προνομιούχοι χρήστες λόγω της υποδομής απομακρυσμένης πρόσβασης». Εσείς, όπου είναι δυνατόν, φροντίστε να ελαχιστοποιήσετε την κλιμάκωση/ πολλαπλασιασμό των προνομίων και βεβαιωθείτε να «κόβετε» την άσκοπη πρόσβαση όταν πλέον δεν απαιτείται. Όπου δεν μπορούν να αποφευχθούν οι προνομιακοί χρήστες (τόσο οι ανθρώπινοι όσο και οι υπολογιστές) φροντίστε να διατηρείτε τον έλεγχο μέσω μίας λύσης PIM (διαχείριση προνομιακής ταυτότητας) που υποστηρίζει στοιχεία όπως η διαχείριση δικαιωμάτων διακομιστή, η εναλλαγή διαπιστευτηρίων, ο έλεγχος πρόσβασης just-in-time (JIT) καθώς και λεπτομερείς ελεγκτικές δυνατότητες.
Άλλοι τομείς για την ψηφιακή ασφάλεια απομακρυσμένης εργασίας περιλαμβάνουν την υγιεινή και τις διαμορφώσεις σε οικιακές συσκευές και την εκπαίδευση των χρηστών σχετικά με τον τρόπο ασφαλούς ρύθμισης των οικιακών τους δικτύων. Ορισμένες «remote-first» εταιρείες που προμηθεύουν εξοπλισμό (π.χ. φορητούς υπολογιστές) σε υπαλλήλους μπορεί επίσης να εξετάσουν την ανάπτυξη scripts για setups τύπου «push button» για τους υπαλλήλους τους που εργάζονται από το σπίτι ή να παρέχουν εξοπλισμό -που έχει προ-ρυθμιστεί σύμφωνα με τα πρότυπα της εταιρείας.
3.Ανθρώπινος: Ο τελευταίος, αλλά σε καμία περίπτωση λιγότερο σημαντικός, είναι ο ανθρώπινος παράγοντας. Οι νευροεπιστήμονες του MIT ανακάλυψαν ότι όταν τα τρωκτικά υπόκεινται σε χρόνιο στρες επιλέγουν διαδρομές υψηλότερου κινδύνου. Αυτό μπορεί να συμβεί και με τους ανθρώπους. Η εργασία από το σπίτι μπορεί να ισοδυναμεί με μείωση του άγχους, από την άποψη ότι δεν έχουμε να κάνουμε με την καθημερινή μετακίνηση από και προς τη δουλειά, ωστόσο μπορεί να σημάνει από την άλλη αύξηση του άγχους στο σπίτι από τα παιδιά, τον σύντροφο ή τα κατοικίδια. Για να μην αναφέρουμε το άγχος να πηδάς από σύνδεσμο συνάντησης σε σύνδεσμο συνάντησης και την ανάγκη να βλέπουμε τον εαυτό μας σε βιντεοδιασκέψεις. Ένα αγχωμένο εργατικό δυναμικό μπορεί να κουραστεί και επομένως να ξεχάσει τα πρωτόκολλα ασφαλείας, όπως τον έλεγχο συνδέσμων πριν κάνουν κλικ ή προχωρήσουν στη λήψη λογισμικού.
Η εκπαίδευση που αρκούσε για τις ανάγκες ενός γραφείου ενδεχομένως θα χρειαστεί να εξελιχθεί ή να γίνεται συχνότερα στο επόμενο κύμα εργασίας. Επίσης, το στυλ διαχείρισης και η κουλτούρα μπορούν να έχει ευεργετική επίδραση για την ανακούφιση των στρεσογόνων παραγόντων: για παράδειγμα, οι συναντήσεις μπορούν να ρυθμιστούν στα 25 ή 50 λεπτά για να δίνουν στους ανθρώπους λίγο χώρο «να αναπνεύσουν» (περισσότερη άνεση) ώστε να μην χρειάζεται να ελέγχουν τα email τους κατά τη διάρκεια των βιντεοκλήσεων, κάνοντας multi-tasking.
Τα επόμενα βήματα προετοιμασίας για την ασφαλή αντιμετώπιση του remote-first εργατικού δυναμικού
Ανεξάρτητα από το που βρίσκεται η εταιρεία σας στο επόμενο κύμα εργασίας, η δημιουργία ενός σχεδίου για την αντιμετώπιση του φυσικού, ψηφιακού ή ανθρώπινου στοιχείου θα διατηρήσει τα δεδομένα ασφαλή και τους ανθρώπους σας υγιείς. Για μια περαιτέρω διερεύνηση στο συγκεκριμένο θέμα ασφάλειας, ρίξτε μια ματιά στο διαδικτυακό σεμινάριο: Privileges & Pajamas: The Security Impact of Remote Working. Για να διαβάσετε επίσης περισσότερα πράγματα για το θέμα, ρίξτε μία ματιά σε αυτή την ανάρτηση από τον CTO & CISO της BeyondTrust, Morey Haber.
Πηγή: BeyondTrust